Routal
Legal

Política de privacidade

Responsável

O responsável pelo tratamento dos dados recolhidos através deste Site é:

  • Routal Tech SL (doravante, “Routal")
  • Rua La Vinya 16, Barcelona – Espanha
  • legal@routal.com

Finalidades

Os dados pessoais do usuário deste Site serão tratados para as seguintes finalidades:

  • Responder a pedidos de informação e/ou dúvidas: Quando aplicável, responder aos pedidos de informação e/ou consultas efetuadas pelo Usuário. Os dados tratados para este efeito serão conservados até que seja respondido o pedido de informação e/ou consulta e, posteriormente, durante os prazos de conservação e prescrição de responsabilidades legalmente previstos. A base legal do tratamento é: a) o consentimento do Usuário caso utilize o formulário de contato existente neste Site; ou b) O interesse legítimo da Routal em dar uma resposta ao Usuário caso o Usuário não utilize o referido formulário (envio de e-mails espontâneos, chamadas telefónicas, envio de pedidos escritos por correio postal).
  • Envio de comunicações comerciais: Se for caso disso, manter o Usuário informado, ainda que por via eletrónica, sobre os produtos, serviços e novidades da Routal. Os dados tratados para este efeito serão conservados até que seja revogado o consentimento dado para o recebimento das referidas comunicações e, posteriormente, durante os prazos de conservação e prescrição de responsabilidades legalmente previstos. A base legal do tratamento é o consentimento do Usuário expresso através dos meios que lhe são disponibilizados neste Site.

Destinatários

A Routal poderá comunicar os dados às Administrações Públicas para cumprimento de obrigações legais e às Forças e Corpos de Segurança do Estado e/ou Juízos e Tribunais que os requeiram no âmbito de uma investigação, instrução ou procedimento. Poderá ainda comunicar os dados às seguintes categorias de encarregados do tratamento: fornecedores de comunicações eletrônicas, software de escritório, alojamento, hospedagem, manutenção informática, gestão, contabilidade, auditoria, assessoria jurídica e representação. Alguns desses encarregados poderão estar localizados fora do Espaço Econômico Europeu, caso em que a Routal terá previamente adotado as garantias adequadas em matéria de proteção de dados.

Direitos

Os interessados ​​poderão exercer os seus direitos de acesso, retificação, eliminação, limitação do tratamento, portabilidade dos dados e oposição, bem como retirar o consentimento a qualquer momento, sem afetar a legalidade do tratamento anterior à sua retirada, enviando o seu pedido para Routal, Calle La Vinya 16, 08041, Barcelona – Espanha; ou para o endereço de e-mail  legal@routal.com. Em qualquer caso, os interessados ​​têm o direito de apresentar uma reclamação junto da autoridade de controle correspondente, se o considerarem apropriado.

Routal como processador de dados

Caso o Usuário adquira uma licença para usar o serviço de software de gerenciamento de frota em nuvem (doravante, “o Serviço”), a Routal precisará processar determinados dados pessoais em nome do licenciado. Para estes efeitos, o licenciado será considerado o Controlador de Dados e a Routal será considerada o Processador de Dados. As cláusulas seguintes constituem a regulação da relação entre o Responsável pelo Tratamento e o Subcontratante para efeitos de cumprimento do disposto no artigo 28.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (doravante, “RGPD”) e o artigo 33 da Lei Orgânica 3/2018, de 5 de dezembro, sobre Proteção de Dados Pessoais e garantia de direitos digitais (doravante, “LOPDGDD”).

Processamento de dados a ser realizado pelo Processador de Dados

O Processador de Dados processará, em nome do Controlador de Dados, os dados pessoais necessários para a execução do Serviço. O referido tratamento terá uma duração igual à da prestação do Serviço, de forma que, uma vez concluída a prestação do Serviço, o tratamento será entendido como concluído.

Identificação das informações afetadas

Para a execução do Serviço, o Controlador de Dados disponibilizará ao Processador de Dados as informações descritas abaixo:

Tipos de dados pessoais

Dados de identificação, dados de geolocalização e quaisquer outros dados que possam ser incluídos pelo Controlador de Dados nos campos abertos habilitados no Serviço.

Categorias de interessados

Clientes e funcionários

Obrigações do Processador de Dados

O Processador de Dados é obrigado a:

  1. Utilizar os dados pessoais em tratamento, ou recolhidos para inclusão, apenas para a estrita prestação do Serviço. Sob nenhuma circunstância você poderá usar os dados para seus próprios fins.
  2. Processar os dados de acordo com as instruções do Controlador de Dados. Se o Processador considerar que alguma das instruções viola o GDPR ou quaisquer outras disposições de proteção de dados da União ou dos Estados-Membros, o Processador informará imediatamente o Controlador.
  3. Se for caso disso, manter um registro escrito de todas as categorias de atividades de tratamento realizadas por conta do Responsável pelo Tratamento, de acordo com o disposto no artigo 30.2 do RGPD.
  4. Não comunique os dados a terceiros, a menos que tenha autorização expressa do Responsável pelo Tratamento, nos casos legalmente admissíveis.

O Processador de Dados poderá comunicar os dados a outros processadores de dados do mesmo Controlador de Dados, de acordo com as instruções deste último. Neste caso, o Responsável pelo Tratamento identificará, previamente e por escrito, a entidade a quem os dados devem ser comunicados, os dados a comunicar e as medidas de segurança a aplicar para proceder à comunicação. Se o Processador de Dados tiver que transferir dados pessoais para um país terceiro ou para uma organização internacional, nos termos da legislação da União ou de um Estado-Membro que lhe seja aplicável, informará antecipadamente o Responsável pelo Tratamento desse requisito legal, a menos que tal Lei o proíba por razões importantes de interesse público.

  1. Não subcontrate nenhum dos serviços que fazem parte do Serviço e envolvem o tratamento de dados pessoais.
    Caso seja necessária a subcontratação de algum tratamento, esse fato deverá ser previamente comunicado por escrito ao Responsável pelo Tratamento, com pelo menos 20 dias de calendário de antecedência, indicando os tratamentos que se pretende subcontratar e identificando de forma clara e inequívoca a empresa subcontratante e os seus dados de contato. A subcontratação poderá ser realizada caso o Responsável pelo Tratamento não manifeste a sua oposição, por escrito, no prazo estabelecido.

O subcontratante, que também terá a qualidade de processador de dados, também está obrigado a cumprir as obrigações aqui estabelecidas para o Processador de Dados e as instruções emitidas pelo Controlador de Dados. Cabe ao responsável pelo tratamento inicial regular a nova relação para que o novo responsável fique sujeito às mesmas condições (instruções, obrigações, medidas de segurança, etc.) e com os mesmos requisitos formais que ele, no que diz respeito ao bom tratamento dos dados pessoais e à garantia dos direitos das pessoas afetadas. Em caso de incumprimento por parte do subcontratante, o Processador de Dados inicial permanecerá totalmente responsável perante o Controlador de Dados relativamente ao cumprimento das obrigações. O Controlador de Dados autoriza o Processador de Dados a realizar as seguintes subcontratações necessárias para fornecer os Serviços:

ProductBoard, Inc.(Productboard): Estados Unidos: plataforma de gerenciamento de produtos centrada no cliente

Intercom, Inc.: Estados Unidos: Plataforma de comunicação com o cliente

Webempresa Europa S.L: Europa: Provedor de hospedagem de dados

  1. Manter o dever de sigilo relativamente aos dados pessoais a que teve acesso em virtude da prestação do Serviço, mesmo depois de terminada a sua prestação.
  2. Garantir que as pessoas autorizadas a tratar dados pessoais se comprometem, expressamente e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, das quais deverão ser devidamente informadas.
  3. Mantenha à disposição do Controlador de Dados a documentação que comprove o cumprimento da obrigação estabelecida na seção anterior.
  4. Garantir a formação necessária em matéria de proteção de dados pessoais às pessoas autorizadas a tratar dados pessoais.
  5. Auxiliar o Controlador de Dados na resposta ao exercício dos direitos de:
  1. Acesso, retificação, eliminação e oposição;
    2. Limitação do tratamento;
    3. Portabilidade de dados;
    4. Não estar sujeito a decisões individualizadas automatizadas (incluindo definição de perfis).

Quando as pessoas afetadas exercerem os direitos de acesso, retificação, eliminação e oposição, limitação do tratamento, portabilidade dos dados e não estarem sujeitas a decisões automatizadas individualizadas perante o Responsável pelo Tratamento, este último deverá notificar o Responsável pelo Tratamento por email. A comunicação deverá ser feita imediatamente e em nenhum caso depois do dia útil seguinte ao recebimento da solicitação, juntamente, se for o caso, com outras informações que possam ser relevantes para a resolução da solicitação.

  1. Notificar o Responsável pelo Tratamento sem demora injustificada e, em qualquer caso, antes do prazo máximo de 48 horas por e-mail, das violações da segurança dos dados pessoais a seu cargo de que tenha conhecimento, juntamente com todas as informações relevantes para a documentação e comunicação do incidente. A notificação não será necessária quando for improvável que tal violação de segurança constitua um risco para os direitos e liberdades das pessoas singulares.

Se disponível, pelo menos as seguintes informações serão fornecidas:

  1. Descrição da natureza da violação da segurança dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares dos dados afetados, bem como as categorias e o número aproximado de registros de dados pessoais afetados.
  2. O nome e dados de contato do responsável pela proteção de dados ou outro ponto de contato onde possam ser obtidas mais informações.
  3. Descrição das possíveis consequências da violação da segurança dos dados pessoais.
  4. Descrição das medidas tomadas ou propostas para remediar a violação da segurança dos dados pessoais, incluindo, se aplicável, as medidas tomadas para mitigar potenciais efeitos negativos.

Caso não seja possível fornecer a informação em simultâneo, na medida em que tal não seja possível, a informação será prestada gradualmente e sem demora injustificada.

  1. Prestar apoio ao Controlador de Dados na realização de avaliações de impacto relacionadas com a proteção de dados, quando apropriado.
  2. Prestar apoio ao Controlador de Dados na realização de consultas prévias à autoridade de controle, quando apropriado.
  3. Colocar à disposição do Controlador de Dados todas as informações necessárias para demonstrar o cumprimento das suas obrigações, bem como para realizar auditorias ou inspeções realizadas pelo Controlador de Dados ou outro auditor por ele autorizado.
  4. Implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como riscos de probabilidade e gravidade variáveis ​​para os direitos e liberdades das pessoas singulares. Em qualquer caso, deverá implementar mecanismos para:
  1. Garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento.
  2. Restaurar rapidamente a disponibilidade e o acesso aos dados pessoais, em caso de incidente físico ou técnico.
  3. Verificar, avaliar e avaliar, regularmente, a eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do tratamento.
  4. Pseudonimizar e criptografar dados pessoais, se aplicável.
  • Nomear um responsável pela proteção de dados e comunicar a sua identidade e dados de contato ao Controlador de Dados, quando aplicável.
  • Uma vez concluída a prestação do Serviço, o Responsável pelo Tratamento terá um prazo máximo de 30 dias corridos para aceder ao Serviço e descarregar todas as informações nele armazenadas. Após este período, o Processador de Dados procederá à exclusão das referidas informações hospedadas no Serviço. Em qualquer caso, o Responsável pelo Tratamento poderá conservar uma cópia, com os dados devidamente bloqueados, desde que possam surgir responsabilidades da execução do serviço.
  • Cumprir as restantes obrigações que o RGPD, o LOPDGDD e os seus regulamentos de desenvolvimento estabelecem para o Processador de Dados.

Obrigações do Controlador de Dados

Corresponde ao responsável pelo tratamento:

  1. Entregar ou permitir que o Processador de Dados acesse os dados especificados acima.
  2. Efetuar uma avaliação do impacto na proteção dos dados pessoais das operações de tratamento a realizar pelo Responsável pelo Tratamento, quando aplicável.
  3. Faça as devidas consultas prévias.
  4. Garantir, antes e durante o tratamento, o cumprimento do RGPD, da LOPDGDD e dos seus regulamentos de implementação por parte do Responsável pelo Tratamento.
  5. Monitorar o processamento, incluindo a realização de inspeções e auditorias.
  6. Facilitar o direito à informação no momento da recolha de dados.
  7. Cumprir as restantes obrigações que o RGPD, o LOPDGDD e os seus regulamentos de desenvolvimento estabelecem para o Controlador de Dados

Uso de dados de usuários do Google

Usamos dados de usuários do Google apenas para fornecer funcionalidades essenciais e cumprimos integralmente a Política de dados de usuários dos serviços de API do Google, incluindo os requisitos de uso limitado.

2.1. Dados que acessamos

Nosso aplicativo acessa os seguintes dados de usuário do Google:

Endereço de e-mail da conta do Google

  • Finalidade: Permita que os usuários se registrem, façam login e identifiquem suas contas com segurança.
  • Armazenamento: Armazenamos apenas o endereço de e-mail associado à conta Google. Não armazenamos nenhuma outra informação de perfil do Google.

Arquivos do Google Sheets selecionados explicitamente pelo usuário

  • Finalidade: Importe dados operacionais, como paradas ou informações relacionadas a rotas, para o Routal.
  • Escopo: O acesso é estritamente limitado às planilhas que o usuário seleciona durante a autorização.
  • Armazenamento: Não armazenamos o conteúdo do Google Sheets. Os dados são processados ​​apenas temporariamente para executar a tarefa de importação.

2.2. Nenhum outro acesso ou uso é feito

  • Não acessamos arquivos do Google Drive além das planilhas escolhidas pelo usuário.
  • Não usamos dados de usuários do Google para publicidade, análise, criação de perfil ou outros fins não relacionados.
  • Não compartilhamos dados de usuários do Google com terceiros, exceto quando necessário para operar o Serviço.

2.3. Conformidade com a política de uso limitado do Google

Atendemos todos os requisitos de uso limitado:

  • Os dados do usuário do Google são usados ​​exclusivamente para fornecer ou melhorar funcionalidades visíveis ao usuário.
  • Os dados nunca são vendidos ou usados ​​para publicidade direcionada.
  • Os dados não são transferidos a terceiros, exceto quando necessário para o funcionamento do Serviço e sempre sob estritos compromissos de confidencialidade.
  • O acesso e o armazenamento de dados são minimizados tanto quanto possível.

2.4. Mecanismos de proteção de dados

Estamos empenhados em garantir a segurança das suas informações.

Implementamos os seguintes mecanismos para proteger os dados dos usuários do Google:

  • Criptografia em trânsito: Todas as transferências de dados entre o dispositivo do usuário, as APIs do Google e nossos servidores são criptografadas usando protocolos HTTPS/TLS padrão do setor.
  • Processamento seguro: Os dados são processados ​​em uma infraestrutura segura em nuvem, com rígidos controles de acesso.
  • Processamento efêmero: Conforme declarado na seção 2.1, não armazenamos permanentemente o conteúdo do seu Google Sheets; ele é processado na memória para a tarefa de importação e depois descartado, minimizando os riscos de segurança.